Säkerhetsintrång har blivit allt vanligare i den digitala världen. UEBA hjälper organisationer att upptäcka och reagera på dessa incidenter.
User and Entity Behavior Analytics (UEBA) var tidigare känt som User Behavior Analytics (UBA). Det är en cybersäkerhetslösning som använder analyser för att få en förståelse för hur användare (människor) och enheter (nätverksenheter och servrar) i en organisation vanligtvis beter sig för att upptäcka och svara på onormal aktivitet i realtid.
UEBA kan identifiera och varna säkerhetsanalytiker om riskabla variationer och misstänkt beteende som kan indikera:
- Lateral rörelse
- Privilegerad kontomissbruk
- Upptrappning av privilegier
- Credential kompromiss eller
- Insiderhot
UEBA utvärderar också hotnivån ytterligare och ger ett riskpoäng som kan hjälpa till att fastställa ett lämpligt svar.
Läs vidare för att lära dig mer om hur UEBA fungerar, varför organisationer går över till UEBA, huvudkomponenterna i UEBA, UEBA:s roll i incidenthantering och UEBA:s bästa praxis.
Innehållsförteckning
Hur fungerar Analytics för användar- och enhetsbeteende?
Användar- och enhetsbeteendeanalys samlar först in information om det förväntade beteendet hos människor och maskiner i din organisation från datalager som en datasjö, ett datalager eller genom SIEM.
UEBA använder sedan avancerade analysmetoder för att bearbeta denna information för att fastställa och ytterligare definiera en baslinje av beteendemönster: var en anställd loggar in från, deras behörighetsnivå, filer, servrar de ofta kommer åt, tid och frekvens för åtkomst och enheter de använder för tillgång.
UEBA övervakar sedan kontinuerligt användar- och enhetsaktiviteter, jämför dem med baslinjebeteende och bestämmer vilka åtgärder som kan resultera i en attack.
UEBA kan veta när en användare utför sina normala aktiviteter och när en attack äger rum. Även om en hackare kan komma åt en anställds inloggningsuppgifter, kommer de inte att kunna efterlikna deras vanliga aktiviteter och beteende.
En UEBA-lösning har tre huvudkomponenter:
Dataanalys: UEBA samlar in och organiserar data från användare och enheter för att bygga en standardprofil av hur varje användare agerar normalt. Statistiska modeller formuleras sedan och tillämpas för att upptäcka onormal aktivitet och larma säkerhetsteamet.
Dataintegration: För att göra systemet mer motståndskraftigt jämför UEBA data som erhållits från olika källor – såsom systemloggar, paketinsamlingsdata och andra datauppsättningar – med data som samlats in från befintliga säkerhetssystem.
Datapresentation: Process genom vilken UEBA-systemet kommunicerar sina resultat och lämpliga svar. Denna process innebär vanligtvis att man skickar en begäran till säkerhetsanalytikerna att undersöka ovanligt beteende.
UEBA:s roll i incidentrespons
Användar- och enhetsbeteendeanalyser använder maskininlärning och djupinlärning för att övervaka och analysera det vanliga beteendet hos människor och maskiner i din organisation.
Om det finns en avvikelse från det vanliga mönstret upptäcker UEBA-systemet det och utför en analys som avgör om det ovanliga beteendet utgör ett verkligt hot eller inte.
UEBA matar in data från olika loggkällor som en databas, Windows AD, VPN, proxy, märke, filer och slutpunkter för att utföra denna analys. Med hjälp av dessa indata och inlärt beteende kan UEBA smälta samman informationen för att göra ett slutresultat för riskrankningen och skicka en detaljerad rapport till säkerhetsanalytikerna.
Till exempel kan UEBA titta på en anställd som kommer in via VPN från Afrika för första gången. Bara för att medarbetarens beteende är onormalt betyder det inte att det är ett hot; användaren kanske helt enkelt reser. Men om samma anställd på personalavdelningen plötsligt kommer åt finansundernätet, skulle UEBA känna igen den anställdes aktiviteter som misstänkta och varna säkerhetsteamet.
Här är ett annat relaterbart scenario.
Harry, anställd på Mount Sinai Hospital i New York, är desperat efter pengar. Den här dagen väntar Harry på att alla ska lämna kontoret och laddar sedan ner patienternas känsliga information till en USB-enhet klockan 19.00. Han tänker sälja de stulna uppgifterna på den svarta marknaden för en hög dollar.
Lyckligtvis använder Mount Sinai Hospital en UEBA-lösning som övervakar beteendet hos varje användare och enhet inom sjukhusnätverket.
Även om Harry har tillstånd att komma åt patientinformation, ökar UEBA-systemet hans riskpoäng när det upptäcker en avvikelse från hans vanliga aktiviteter, vilket vanligtvis innebär att titta på, skapa och redigera patientjournaler mellan kl. 9 och 17.
När Harry försöker komma åt informationen klockan 19.00, identifierar systemet mönster och oregelbundenheter i tidpunkten och tilldelar ett riskpoäng.
Du kan ställa in ditt UEBA-system för att helt enkelt skapa en varning för säkerhetsteamet för att föreslå ytterligare utredning, eller så kan du ställa in det för att vidta omedelbara åtgärder som att automatiskt stänga av nätverksanslutning för den anställde på grund av den misstänkta cyberattacken.
Behöver jag en UEBA-lösning?
En UEBA-lösning är avgörande för organisationer eftersom hackare utför mer sofistikerade attacker som blir svårare och svårare att upptäcka. Detta gäller särskilt i de fall där hotet kommer inifrån.
Enligt den senaste cybersäkerhetsstatistiken, mer än 34 % av företag påverkas av insiderhot över hela världen. Och dessutom säger 85 % av företagen att det är svårt att kvantifiera den faktiska kostnaden för en insiderattack.
Som ett resultat övergår säkerhetsteamen mot nyare metoder för upptäckt och incidentrespons (IR). För att balansera och förstärka sina säkerhetssystem slår säkerhetsanalytiker samman teknologier som användar- och entitetsbeteendeanalys (UEBA) med konventionella SIEM:er och andra äldre förebyggande system.
UEBA ger dig ett kraftfullare system för upptäckt av insiderhot jämfört med andra traditionella säkerhetslösningar. Den övervakar inte bara avvikande mänskligt beteende utan även misstänkta sidorörelser. UEBA spårar även aktiviteter på dina molntjänster, mobila enheter och Internet of Things-enheter.
Ett sofistikerat UEBA-system tar in data från alla olika loggkällor och skapar en detaljerad rapport om attacken för dina säkerhetsanalytiker. Detta sparar ditt säkerhetsteam den tid som går åt att gå igenom otaliga loggar för att fastställa den faktiska skadan på grund av en attack.
Här är några av de många användningsfallen för UEBA.
Topp 6 användningsfall för UEBA
#1. UEBA upptäcker missbruk av insiderprivilegier när användare utför riskfyllda aktiviteter utanför det etablerade normala beteendet.
#2. UEBA slår samman misstänkt information från olika källor för att skapa ett riskpoäng för riskrankning.
#3. UEBA utför incidentprioritering genom att minska falska positiva resultat. Det eliminerar larmtrötthet och gör det möjligt för säkerhetsteam att fokusera på högriskvarningar.
#4. UEBA förhindrar dataförlust och dataexfiltrering eftersom systemet skickar varningar när det upptäcker att känslig data flyttas inom nätverket eller överförs från nätverket.
#5. UEBA hjälper till att upptäcka laterala rörelser av hackare inom nätverket som kan ha stulit anställdas inloggningsuppgifter.
#6. UEBA tillhandahåller också automatiserade incidentsvar, vilket gör det möjligt för säkerhetsteam att svara på säkerhetsincidenter i realtid.
Hur UEBA förbättrar UBA och äldre säkerhetssystem som SIEM
UEBA ersätter inte andra säkerhetssystem men representerar en betydande förbättring som används tillsammans med andra lösningar för effektivare cybersäkerhet. UEBA skiljer sig från användarbeteendeanalys (UBA) genom att UEBA inkluderar ”Entities” och ”Events” såsom servrar, routrar och slutpunkter.
En UEBA-lösning är mer omfattande än UBA eftersom den övervakar icke-mänskliga processer och maskinella enheter för att mer exakt identifiera hot.
SIEM står för säkerhetsinformation och händelsehantering. Traditionellt äldre SIEM kanske inte kan upptäcka sofistikerade hot själv eftersom det inte är utformat för att övervaka hot i realtid. Och med tanke på att hackare ofta undviker enkla engångsattacker och istället engagerar sig i en kedja av sofistikerade attacker, kan de förbli oupptäckta av traditionella hotdetekteringsverktyg som SIEM i veckor eller till och med månader.
En sofistikerad UEBA-lösning åtgärdar denna begränsning. UEBA-system analyserar data som lagras av SIEM och arbetar tillsammans för att övervaka hot i realtid, så att du kan reagera på intrång snabbt och utan ansträngning.
Genom att slå samman UEBA- och SIEM-verktyg kan organisationer därför bli mycket effektivare när det gäller att upptäcka och analysera hot, åtgärda sårbarheter snabbt och undvika attacker.
Användar- och enhetsbeteendeanalys bästa praxis
Här är fem bästa tillvägagångssätt för analyser av användarbeteende som ger insikt om saker att göra när man bygger en baslinje för användarbeteende.
#1. Definiera användningsfall
Definiera de användningsfall du vill att din UEBA-lösning ska identifiera. Dessa kan vara upptäckt av missbruk av privilegierat konto, kompromiss med legitimation eller insiderhot. Att definiera användningsfall hjälper dig att avgöra vilken data som ska samlas in för övervakning.
#2. Definiera datakällor
Ju fler datatyper dina UEBA-system kan hantera, desto mer exakt blir baslinjen. Vissa datakällor inkluderar systemloggar eller personaldata som anställds prestationshistorik.
#3. Definiera beteenden om vilka data som kommer att samlas in
Detta kan inkludera anställdas arbetstider, applikationer och enheter som de ofta använder och skrivrytmer. Med denna information på plats kan du bättre förstå möjliga orsaker till falska positiva resultat.
#4. Ställ in en varaktighet för att fastställa baslinjen
När du bestämmer varaktigheten av din baslinjeperiod är det viktigt att ta hänsyn till säkerhetsmålen för ditt företag och användarnas aktiviteter.
Baslinjeperioden bör inte vara för kort eller för lång. Detta beror på att du kanske inte kan samla in korrekt information om du avslutar baslinjevaraktigheten för snabbt, vilket resulterar i en hög andel falska positiva resultat. Å andra sidan kan vissa skadliga aktiviteter överföras som vanligt om du tar för lång tid att samla in basinformationen.
#5. Uppdatera dina basdata regelbundet
Du kan behöva bygga om din baslinjedata regelbundet eftersom användar- och enhetsaktiviteter förändras hela tiden. En anställd kan bli befordrad och ändra sina uppgifter och projekt, nivå av privilegier och aktiviteter. UEBA-system kan ställas in automatiskt för att samla in data och justera basdata när förändringar sker.
Slutord
I takt med att vi blir alltmer beroende av teknik blir cybersäkerhetshoten mer komplexa. Ett stort företag måste säkra sina system som innehåller känsliga uppgifter från sina egna och sina kunder för att undvika storskaliga säkerhetsintrång. UEBA erbjuder ett incidentresponssystem i realtid som kan förhindra attacker.